Хоча розподілені атаки типу "відмова в обслуговуванні" (DDoS) здійснюються цілий рік, під час свят відбуваються найвідоміші з них.
Дізнавайтеся аналітику безпосередньо від експертів у подкасті Аналізу загроз Microsoft. Прослухати.
Захист від DDoS-атак у період свят: ваш посібник із безпеки
DDoS-атаки здійснюють через окремі пристрої (боти) або мережу пристроїв (бот-мережа), які заражено шкідливим програмним забезпеченням. Під час такої атаки веб-сайти або служби переповнюються великим обсягом трафіку. DDoS-атаки можуть тривати годинами або навіть днями.
- Суть: під час DDoS-атаки сайт або сервер переповнюється фальшивим трафіком, щоб порушити роботу служби або взагалі вимкнути її.
- Причина: вимагати від власників сайту грошей, отримати конкурентну перевагу над ними або досягти політичних цілей.
- Спосіб: модель "кіберзлочин як бізнес-послуга" дає змогу замовити DDoS-атаку у відповідній службі підписки всього за 5 доларів США.1
IP-стресери (також відомі як DDoS-стресери) – це та сама модель "програмне забезпечення як послуга", але для кіберзлочинців. Такі служби дають змогу кожному створити бот‑мережу для запуску масованих кампаній DDoS-атак і для цього не потрібні спеціальні навички програмування.
- По-перше: організації зазвичай рідше використовують ресурси для відстеження мережі й програм, що відкриває додаткові можливості для зловмисників.
- По-друге: обсяг трафіку в цей період сягає максимального рівня (цього року очікується досягнення показника продажів 1,33 трильйона доларів США), особливо на веб-сайтах електронної комерції та постачальників ігор, тому ІТ-фахівцям складніше розрізнити безпечний і незаконний трафік.
- По-третє: для зловмисників, які прагнуть фінансової вигоди, під час свят підвищується імовірність отримати більші виплати, адже доходи сягають максимального рівня й час доступності служб має критично важливе значення.
Минулого року ми відзначили, як у святковий період зросла кількість таких атак. Це доводить необхідність посиленого захисту.
Будь-який простій веб-сайту або сервера під час пікового навантаження у свята може призвести до зменшення обсягу продажів, втрати клієнтів, високих витрат на відновлення або погіршення репутації. Ці наслідки посилюються для невеликих організацій, оскільки їм може бути важче відновитися після такої атаки.
Загалом DDoS-атаки поділяють на три основні категорії з різними типами кібератак у кожній із них. Нові вектори DDoS-атак виникають щодня, оскільки кіберзлочинці використовують дедалі досконаліші методи, наприклад атаки на базі ШІ. Зловмисники можуть здійснювати кілька типів атак на мережу, зокрема атаки з різних категорій.
Об’ємні атаки: націлені на пропускну здатність. Вони призначені для того, щоб перевантажити мережевий рівень трафіком.
Приклад. Під час атаки "Посилення DNS-сервера" (DNS amplification), коли через відкриті DNS-сервери цільовий об’єкт переповнюється трафіком із відповідей на DNS-запити.
Протокольні атаки: націлені на ресурси. Вони використовують вразливості у стеку протоколу на рівнях 3 й 4.
Приклад. SYN-атака (переповнення пакетами синхронізації), яка використовує всі доступні ресурси сервера, що робить його недоступним.
Атаки на рівні ресурсів: націлені на пакети веб‑програм. Вони порушують передачу даних між хостами.
Приклад. Атака зі швидким скиданням HTTP/2, під час якої надсилається певна кількість HTTP-запитів із використанням HEADERS, а потім – RST_STREAM. Цей шаблон повторюється, щоб згенерувати великий обсяг трафіку на цільових серверах HTTP/2.
Хоча неможливо повністю вбезпечитися від DDoS‑атак, профілактичне планування й підготовка допоможуть вам організувати ефективніший захист.
Водночас важливо пам’ятати, що через високі рівні трафіку під час свят може бути складніше виявляти аномалії.
- Оцінюйте ризики й вразливості. Почніть із виявлення програм в організації, які можна знайти в загальнодоступному Інтернеті. Також зафіксуйте нормальну поведінку своєї програми, щоб ви могли швидко відреагувати в разі її нетипових дій.
- Використовуйте засоби захисту. Унаслідок значного збільшення DDoS-атак під час свят вам знадобиться служба захисту від них із розширеними можливостями усунення ризиків, яка може впоратися з атаками будь-якого масштабу. Вибирайте службу за функціями, як-от відстеження трафіку, дії із захисту для конкретної програми, телеметрія захисту від атак DDoS, моніторинг і сповіщення, а також доступ до команди швидкого реагування.
- Розробіть стратегію реагування на DDoS-атаки. Наявність стратегії реагування важлива для виявлення й усунення DDoS-атак, а також для швидкого відновлення після них. Ключовою частиною стратегії є створення команди реагування на DDoS-атаки із чітко визначеними ролями й обов’язками. Учасники цієї команди мають розуміти, як виявляти, усувати й відстежувати атаки. Вони також мають координувати дії з внутрішніми зацікавленими особами й клієнтами.
- Звертайтеся по допомогу в разі атаки. Якщо ви вважаєте, що зазнали атаки, зверніться до відповідних технічних фахівців, наприклад до створеної команди реагування, щоб отримати допомогу з розслідуванням під час атаки, а також з аналізом після її завершення.
- Зробіть висновки після атаки й внесіть необхідні зміни. Після атаки ви, найімовірніше, захочете якомога швидше повернутися до нормальної роботи. Але важливо продовжувати відстежувати свої ресурси й виконати ретроспективний аналіз. Поставте собі наведені нижче запитання.
- Чи виникло порушення роботи служби або взаємодії з користувачами через нестачу масштабованої архітектури?
- Які програми або служби постраждали найбільше?
- Наскільки ефективною була стратегія реагування та як її можна покращити?
Підпишіться на Microsoft